Wikileak publie le code source des outils de hacking de la CIA

vault-8-wikileaks-nsa

Avec sa nouvelle saison Vault 8, Wikileaks ambitionne de publier les codes sources des outils d’espionnage de la CIA listés dans Vault 7 ces derniers mois.

Après sa série Vault 7 lancée en mars 2017 sur les outils d’espionnage exfiltrés des murs de la CIA, WikiLeaks ouvre une nouvelle saison, Vault 8, consacrée au code source des applications de surveillance en question.

« Cette publication permettra aux journalistes d’investigation, aux experts judiciaires et au grand public de mieux identifier et comprendre les composantes secrètes de l’infrastructure de la CIA », justifie la plateforme de Julian Assange pour les lanceurs d’alertes.

Qui s’empresse de préciser qu’aucun des documents publiés ne contiennent de vulnérabilité 0-Day ou de faille de sécurité susceptible d’être re-exploitée par des tiers.

La première révélation de Vault 8 porte sur Hive (ruche), un composant « majeur » de l’infrastructure de l’agence américaine du renseignement de contrôle de ses malware.

Hive fournit en effet une plate-forme de communication entre les serveurs infectés (surveillés) et ceux de la CIA afin d’exfiltrer des informations mais aussi de recevoir des instructions. Et ce, sans que son éventuelle découverte puisse permettre de remonter jusqu’à l’agence de renseignement.

Serveurs publics

Schématiquement, Hive active de multiples opérations à partir de plusieurs implants sur les ordinateurs cibles, explique Wikileaks.

Pour chaque opération, un domaine est créé. Domaine exécuté sur des serveurs loués auprès d’hébergeurs commerciaux en tant que VPS.

Ces serveurs privés virtuels servent alors de relais avec les propres serveurs de la CIA (appelés « Blot ») hébergés derrière une connexion VPN (réseau virtuel privé).

Toujours selon WikiLeaks, les domaines créés par la CIA offrent des contenus anodins susceptibles de n’inspirer aucune méfiance à un visiteur qui tomberait dessus (par hasard ou pas).

A l’insu du visiteur, les sites Web leurres servent de passerelles pour propager des malware de la CIA, favorisant la connexion avec les serveurs Blot de l’agence de renseignement (et donc la collecte discrète de données).

Faux certificats trompeurs

Qui plus est, le code de Hive génère de faux certificats. Comme, par exemple, un certificat attribué à Kaspersky Lab et signé par Thawte Consulting. Ce qui oblige Kaspersky à prendre la parole pour se défendre sur Twitter.

 

« De cette façon, si l'organisation cible regarde le trafic réseau sortant de son réseau, elle tendra à attribuer l'exfiltration des données de la CIA à des entités non impliquées dont l'identité a été usurpée », affirme Wikileaks.

Hive n'est pas sans faire penser à un autre malware, FuzzBunch, utilisé par la NSA dont les outils de hacking ont été dérobés par les Shadow Brokers. Avec le résultat que l'ont sait.

Entre les mains de cybercriminels, les outils de l'agence nationale de la sécurité américaine se sont transformés en ransomware Wannacry et autre Petya.

Même si WikiLeaks s'engage à ne publier du code sans 0-Day, le pire est à craindre avec la publication de la vingtaine d'outils précédemment inscrit dans la liste Vault 7.


Lire également
Vault 7 : WikiLeaks dans le rôle de l’arroseur arrosé
Quand la CIA installait des spywares pour surveiller le FBI et la NSA
Comment la CIA suit les PC à la trace à l’aide du Wifi

Photo via Pixabay (CC0 Creative Commons)